Я хотел бы узнать лучшие практики, чтобы аннулировать JWT, не ударяя db при изменении пароля/выхода из системы.
У меня есть идея, приведенная ниже, чтобы обработать выше 2 случаев, нажав на пользовательскую базу данных.
1.В случае изменения пароля, я проверяю пароль (хешированный), хранящийся в db пользователя.
2. В случае выхода из системы, я сохраняю время последнего выхода в пользовательском db, поэтому, сравнивая время создания и время выхода маркера, я могу сделать это недействительным.
Но эти два случая заставляют платить за пользователя db каждый раз, когда пользователь попадает на api. Любая лучшая практика ценится.
UPDATE: Я не думаю, что мы сможем сделать недействительным JWT без удара db. Поэтому я придумал решение. Я отправил свой ответ, если у вас есть какие-либо проблемы, пожалуйста.